it-swarm.asia

ترحيل حسابات المستخدمين خارج النظام باستخدام كلمات مرور مجزأة

لديّ نظام يحتوي على بضعة آلاف من حسابات المستخدمين التي أحتاج إلى ترحيلها إلى نظام أساسي جديد. يخزن النظام كلمة مرور مجزأة ، غير مشفرة أو نص عادي (شكرا لله). أيضا ، ليس لدي تفاصيل التجزئة المتاحة بسهولة.

ما هي بعض الطرق الفعالة لجعل الانتقال؟ فكرة واحدة تتبادر إلى الذهن قبالة رأس رأسي:

  1. قبل الوقت ، يمكنني ترحيل جميع البيانات. سيكون لدى المستخدمين الحاليين في النظام الأساسي القديم حساب وجميع بياناتهم في النظام الأساسي الجديد.
  2. قم بنسخ بعض الكود الذي يتعامل مع المصادقة حاليًا وتحويله إلى نوع من الخدمة يتحقق من صحة اسم المستخدم/كلمة المرور.
  3. يمكن للنظام الأساسي الجديد أولاً التحقق من المصادقة الخاصة به لمعرفة ما إذا كان قد تم نقل كلمة المرور. إذا لم يحدث ذلك ، فيمكنه الاتصال بالخدمة على النظام الأساسي الآخر لتحديد ما إذا كانت صالحة في النظام القديم.
  4. إذا كان هذا غير صحيح ، فسيخبر المستخدم أن تسجيل دخوله كان خطأ.
  5. إذا كانت صالحة ، فهي تعرف الآن كلمة المرور الصحيحة ويمكنها ملء جدول المستخدم الخاص بها بكلمة المرور (وفقًا لأي نظام يستخدمه النظام الأساسي).
3
Larsenal

مررت بمشكلة مشابهة مؤخرًا إلا أنني لم أتمكن من الوصول إلى خوارزمية التجزئة التي تم استخدامها. أعتقد أن لديك 2 الخيارات.

  1. انقل جميع ملفات تعريف المستخدمين إلى النظام الجديد واحصل على عمود إضافي مع تجزئة كلمة المرور القديمة.
  2. عندما يسجل المستخدم الدخول لأول مرة ، لن يرى نظامك أي حساب في النظام الجديد ولكن يوجد تجزئة من النظام القديم. سيحتفظ نظامك بنسخة سابقة للتجميع من كلمة المرور ويتحقق من نسخة التجزئة من علامة التجزئة القديمة.
  3. إذا كانت تطابقات التجزئة القديمة ، فقم بتعيين كلمة المرور في النظام الجديد على ما أرسلوه.

ومع ذلك ، إذا وجدت أنه لا يمكنك الوصول إلى خوارزمية التجزئة ولديك عنوان بريد إلكتروني لكل مستخدم لديك خيار آخر. هذا ما فعلته في الواقع:

  1. انسخ جميع أسماء المستخدمين وعنوان البريد الإلكتروني والمعلومات من النظام القديم إلى النظام الجديد. ضع عمود العلامة في الجدول الذي يشير إلى أن المستخدم من النظام القديم.
  2. عندما يقوم المستخدم بتسجيل الدخول إلى النظام الجديد لأول مرة ، سيرى النظام الجديد أن لديهم حساب ولكن ليس لديهم كلمة مرور.
  3. اجعل نظامك يضع رسالة على الشاشة يقول شيئًا مثل "لقد قمنا بتحديث موقعنا وتم تحويل حساب المستخدم الخاص بك. ستتلقى بريدًا إلكترونيًا قريبًا بكلمة مرور مؤقتة جديدة (تأكد من أن كلمة المرور أو الرابط الخاص يعمل لفترة قصيرة فقط فترة من الزمن).
  4. أرسل المستخدم كلمة مرور مؤقتة إلى موقعك الجديد يتيح له تسجيل الدخول. بمجرد تسجيل الدخول لأول مرة ، دعهم يعيدون تعيين كلمة المرور الخاصة بهم إلى ما يحلو لهم.

الخيار الثاني يعمل بشكل جيد بالنسبة لي. لم يكن لدي أي شكاوى للمستخدم وهي آمنة نسبيًا لأن هذه هي العملية المعتادة للمستخدم لإعادة تعيين كلمة المرور المنسية.

3
Ben Hoffman

قبل أن تواجه الكثير من المتاعب ، هل نظرت إلى ما قد تكون خوارزمية التجزئة؟ إذا كانوا عاقلين بما يكفي لاستخدام كلمات مرور التجزئة ، نأمل أن يكونوا عاقلين بما يكفي لاستخدام خوارزمية التجزئة الشائعة (MD5 ، SHA1 ، إلخ).

قد يكون من المفيد تجربة بعض الخيارات الشائعة لمعرفة ما إذا كان يمكنك إجراء هندسة عكسية لما كانوا يقومون به.

أيضًا ، تذكر "نسخ بعض التعليمات البرمجية التي تعمل المصادقة حاليًا". كيف يكون لديك رمز ، ولكن ليس خوارزمية التجزئة؟

0
Eric Petroelje